defacciato il sito delle poste italiane!!

[monkey island]

Quote:

Originariamente inviato da musica_maestro

Farsi defacciare un network di quella portata quindi è una cosa normale, sicura?

Perché le Poste italiane non indicono il concorso a chi defaccia meglio?
Tanto non comporta nulla, i dati sono sicuri.


Credo che qui non si capisce che il defacciamento di un sito può, con incroci di email o di azioni mirate, neanche tanto difficili da farsi, portare migliaia di utenti (se il defacciamento si protrae per un lasso di tempo sufficiente), visitatori/clienti ad inserire dati e quant'altro sui database criptati e sicuri NON della posta, ma degli hackerucoli che se la ridono e godono nel mare di qualche isola del pacifico.

Oltre all'attenzione, avrebbero potuto (ripeto avrebbero), quindi attirare qualcos'altro...

Il database o i database di piattaforme dinamiche come quelli fanno riferimento a dati, html, plugin, servizi, motore del sito...
Ad esempio quello della pagina html defacciata è stato toccato.
O probabilmente hanno solo messo un file statico in html al posto della index della home.
I dati criptati poi possono o essere decriptati in alcuni casi o anche semplicemente ri-sfornati dal database stesso in chiaro.
Insomma non so bene come è stato il risultato del defacciamento ma CREDO che i rischi sono molto ma molto elevati.

Per semplificarmi il tutto ti invito a leggere questo:

http://www.spazioalchimia.it/attimi-...era-la-demenza

e i commenti quà:

http://www.dgxstyle.net/2009/10/11/p...acco/#comments

[musica_maestro]

Grazie per aver postato questa fonte, che da una prima lettura generica sembra affermare proprio quello che dicevo.
...non è stata cosa da poco.
Vado a leggere meglio ed anche i commenti.

[musica_maestro]

Poseguendo ancora nella discussione e dopo aver letto alcuni commenti, guarda quello che dice il commentatore Giulio nella pagina da te linkata.
Concordo pienamente con quello che scrive ed è identico da quello da me detto.

Che i database siano su altri server e criptati o protetti, la cosa è relativa.

Ma poi, scusate.
Cosa pensate che la Poste.it, umiliata in questo modo, dicesse alla stampa?
Ragazzi ci hanno defacciato e potevano fare quello che volevano con i vostri dati e soldi?

E' ovvio che è trapelato solo il minimo del minimo che doveva trapelare.

[monkey island]

Questione di punti di vista... io credo più al pensiero di Maurizio..
Credo ci sia stato un pò troppo allarmismo ed inesattezze su questo avvenimento

[Tuvok-LuR-]

non capisco che senso abbia sminuire l'operato dei due defacers.
La moda più comune sui forum sia quella di additarli come hacker da 4 soldi, se fossero stati veramente hacker fighi avrebbero rubato tutti i soldi, eh beh -_-
E' dimostrato che era facile accedere ai dati sul database, non sappiamo se stiamo parlando solo del database della sala stampa o anche quello con i dati degli utenti, in ogni caso se avessero voluto veramente rubare non gli ci sarebbe voluto molto a mandare i dati di login dove volevano loro...e magari alle poste non se ne sarebbero neanche accorti, senza un defacement -_-
inoltre le poste sono colpevoli di non essere intervenute per correggere il problema nonostante fossero state avvertite da mesi

[Nockmaar]

Quote:

Originariamente inviato da Tuvok-LuR-

non capisco che senso abbia sminuire l'operato dei due defacers.
La moda più comune sui forum sia quella di additarli come hacker da 4 soldi, se fossero stati veramente hacker fighi avrebbero rubato tutti i soldi, eh beh -_-
E' dimostrato che era facile accedere ai dati sul database, non sappiamo se stiamo parlando solo del database della sala stampa o anche quello con i dati degli utenti, in ogni caso se avessero voluto veramente rubare non gli ci sarebbe voluto molto a mandare i dati di login dove volevano loro...e magari alle poste non se ne sarebbero neanche accorti, senza un defacement -_-
inoltre le poste sono colpevoli di non essere intervenute per correggere il problema nonostante fossero state avvertite da mesi

Falso, molto falso. Defacciare un sito web sfruttando l'SQL Injection o l'XSS Scripting con Pan***in o tool simili è roba da ragazzini a cui puzza ancora la bocca di latte. Il deface ha molto poco di tecnico e di "hackeroso"[sic], i dati dei conti sono a un layer inarrivabile dai frontend.

Il fatto che le poste non se ne sarebbero mai accorte poi non puoi certo saperlo, visto che non hai idea di come sia strutturata la sicurezza in un'azienda.E fidati che la rete interna di poste è molto ma molto ben strutturata, nonché piena zeppa di sonde. Se c'è una cosa che funziona bene in PI è proprio l'infrastruttura di rete...

Prendo spunto dal tuo post per rispondere a tutti quelli che pensano che si sia andati molto vicini ad un megafurto dei dati dei conti.

Detto questo, da correntista poste ero già da tempo dell'idea di spostare tutto da un'altra parte proprio per il fatto che, per accedere al conto ( ma senza poter fare operazioni ) basta una username e una password di massimo[sic] otto caratteri.

[musica_maestro]

Quote:

Originariamente inviato da Nockmaar

i dati dei conti sono a un layer inarrivabile dai frontend.
:

E' su questa tua affermazione che nutro parecchie perplessità.
Nel senso che se non sono arrivabili direttamente potrebbero esserlo per via indiretta anche tramite azioni di phishing.
Lo fanno senza defacciare ed entrare, figuriamoci giocando "in casa".


Inoltre non capisco come le poste italiane non abbiano testato difese su falle note del tipo:
:SQL Injection o l'XSS Scripting con Pan***in o tool simili

Pertanto se gli hackerunkoli puzzano ancora di latte quelli delle poste ancora devono nascere.
O no?

[Nockmaar]

Quote:

Originariamente inviato da musica_maestro

E' su questa tua affermazione che nutro parecchie perplessità.
Nel senso che se non sono arrivabili direttamente potrebbero esserlo per via indiretta anche tramite azioni di phishing.
Lo fanno senza defacciare ed entrare, figuriamoci giocando "in casa".


Inoltre non capisco come le poste italiane non abbiano testato difese su falle note del tipo:
:SQL Injection o l'XSS Scripting con Pan***in o tool simili

Pertanto se gli hackerunkoli puzzano ancora di latte quelli delle poste ancora devono nascere.
O no?

Distinguiamo: il phishing è tutto un altro paio di maniche e non c'entra nulla con un'eventuale intrusione. È come dare ad un ladro volontariamente il tuo bancomat e il tuo pin. L'abilità del ladro è pari a zero, semplicemente hai abboccato al tranello. Al limite si può dire che sia stato bravo a fregarti, ma il problema in quel caso è il livello medio dell'utilizzatore di internet ( e qui si entra in un discorso che preferirei evitare ).

Riguardo il discorso dei "latticini", ripeto che sfruttare programmi come quello usato è assolutamente banale. Qualche anno fa ci fu un'epidemia di deface, causa un bug di IIS 4, in 10 secondi e con un solo comando era possibile cambiare l'homepage di un sito. Abilità richiesta: zero. La gioia degli script-kiddies e dei 15enni cazzoni.

Dove sta il problema allora? Nel caso di IIS, si trattò di uno dei tanti bachi, non rilevati in fase di coding, come ce ne sono ogni mese su ogni sistema operativo.

Nel caso di Poste, invece, la colpa è del fornitore che ha fatto il sito salastampa per PI.

Colpa dei coder o di chi ha supervisionato il progetto, questo non posso saperlo, di sicuro purtroppo la cultura del "safe coding" ancora non c'è. Almeno in certi ambiti, dove si tende solo a far quadrare i conti in base ai soldi vinti con la commessa.

Stiamo parlando di SQL Injection, roba che dovrebbero insegnare e di cui ogni sviluppatore dovrebbe preoccuparsi ( al pari di tutti gli altri bug ampiamente noti e sfruttabili da mesi e anni ).

Se vogliamo dare una colpa a Poste, è quella di non aver ancora previsto dei VA ( vulnerability assessment ) applicativi, oltre a quelli legati ai sistemi operativi...

Spero di averti chiarito qualche dubbio.

[musica_maestro]

Grazie per risposta e pazienza.
E' un piacere per me discutere di queste cose, non perché abbia intenzione di defacciare ma per cultura informatica web in generale.

Non nutro dubbi sulla facilità di entrare in alcune situazioni, c'è anche addirittura chi lascia password nel web o usa password di 3-4 parole in alcuni casi.
So, per sentito dire, che gli attacchi XSS sono tra i più efficaci e anche di non facile contrasto.

Quello su cui vorrei discutere, se vogliamo, è se la situazione di questo caso poteva o no portare a situazioni più serie (accesso ai dati sensibili e altro).

C'è qualcuno che ha dati più dettagliati circa l'effettiva entità dell'attacco?
Inoltre, è evidente che i dati salvati su database siano collegati al motore (php, asp, ssi) del sito.

Il fatto, per esempio, di aver avuto accesso alla shell avrebbe potuto mettere gli hackers in grado di leggere alcuni file sul server, tipo quelli in cui sono presenti i dati di accesso al database?

[Nockmaar]

Quote:

Originariamente inviato da musica_maestro

Grazie per risposta e pazienza.
E' un piacere per me discutere di queste cose, non perché abbia intenzione di defacciare ma per cultura informatica web in generale.

Non nutro dubbi sulla facilità di entrare in alcune situazioni, c'è anche addirittura chi lascia password nel web o usa password di 3-4 parole in alcuni casi.
So, per sentito dire, che gli attacchi XSS sono tra i più efficaci e anche di non facile contrasto.

Quello su cui vorrei discutere, se vogliamo, è se la situazione di questo caso poteva o no portare a situazioni più serie (accesso ai dati sensibili e altro).

C'è qualcuno che ha dati più dettagliati circa l'effettiva entità dell'attacco?
Inoltre, è evidente che i dati salvati su database siano collegati al motore (php, asp, ssi) del sito.

Il fatto, per esempio, di aver avuto accesso alla shell avrebbe potuto mettere gli hackers in grado di leggere alcuni file sul server, tipo quelli in cui sono presenti i dati di accesso al database?

Allora, entriamo ancora di più nel dettaglio: di norma un sistema che offre quel tipo servizi di home banking è fatto a tre livelli, te ne posso dare certezza per la versione di Poste sia per i privati che soprattutto per le imprese, avendoci lavorato:

frontend-->application layer-->database applicativo+database host dipartimentale.

I frontend parlano con gli application tramite un plugin fornito dal middleware, dove girano le applicazioni. Ergo nei frontend non c'è alcun dato di autenticazione. Di conseguenza dai webserver è impossibile arrivare al database, anzi, le uniche porte aperte dai web server ( che si trovano su uno layer separato rispetto al resto dell'infrastruttura ) verso gli application sono quelle applicative. Quindi non è possibile tentare di loggarsi con una shell ( SSH, ad esempio ) sugli application server, visto che ogni altra porta differente da quelle su cui sono in ascolto le applicazioni è chiusa.

E già questo basta per segare ogni velleità di raggiungere l'anagrafica.

Sono poi gli AS che si connettono al proprio DB, dove potrebbero esserci dei dati di autenticazione e al sistema HOST dove risiede il vero cuore di una banca. E qui, ovviamente, le policy di accesso e di autenticazione sono, o almeno dovrebbero essere, ancora più restrittive.

I furti di enormi liste di dati personali, molto più frequenti oltreoceano, sono nella stragrande maggior parte causa di qualche "interno", a volta di servizi o server di test esposti e dimenticati.

Come vedi, è tutt'altro che evidente il fatto che dal web sia immediatamente possibile accedere al database.

[musica_maestro]

Ti ringrazio molto per avermi illustrato il funzionamento di un sistema bancario on-line da quello che si evince dalla tua descrizione dettagliata si va in profondità nei vari livelli del sistema e più gli accessi si restringono, ora molte cose mi sono molto più chiare .
grazie

[Nockmaar]

Quote:

Originariamente inviato da musica_maestro

Ti ringrazio molto per avermi illustrato il funzionamento di un sistema bancario on-line da quello che si evince dalla tua descrizione dettagliata si va in profondità nei vari livelli del sistema e più gli accessi si restringono, ora molte cose mi sono molto più chiare .
grazie

Di nulla.

Da correntista sono il primo a dire che la sicurezza dell'home banking di Poste è alquanto scarsa ( perlomeno finché non prenderanno la certificazione Visa con annessa integrazione di un token ) però i falsi allarmismi, come in questo caso, preferisco smontarli.

Detto questo, sto passando tutto su un'altra banca.

[litocat]

Polizia postale scopre hacker sito Poste, anche un 17enne

ROMA - C'é anche un diciassettenne tra i tre autori del recente attacco al sito telematico delle Poste scoperti dalla Polizia postale. Il fatto risale al 10 ottobre scorso, quando la home page del sito era stata artatamente alterata e di fatto resa irraggiungibile ai numerosi utenti di Poste Italiane. Stamane la polizia ha perquisito le abitazioni dei tre indagati, tutti molto giovani. Le complesse indagini svolte dagli investigatori del Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche del servizio Polizia postale e delle comunicazioni sono state coordinate dal sostituto procuratore Giuseppe Corasaniti del pool dei magistrati della Procura di Roma specializzati sul cyber crime. Sono state ricavate, fa sapere la polizia, ampie conferme delle ipotesi investigative e sequestrato copioso materiale informatico, ora al vaglio dei cyber-poliziotti. L'operazione ha visto impegnati, oltre il Servizio centrale della Polizia delle Comunicazioni, anche vari compartimenti regionali della Polizia postale.

Fonte: http://www.ansa.it/web/notizie/rubri...621131291.html